Windows Server

DHCP Uzerinde Network Access Protection – Bolum1 (NAP Ortamı ve Network Policy Server Yapılandırması)

Bildiğiniz gibi NAP, Windows Vista™ ve Windows Server® 2008 ile gelen yeni bir teknoloji. İlerleyen günlerde Windows XP sistemler de NAP Client olarak kullanılıyor olacak.

 

NAP’i kısaca, ağımızdaki bilgisayarların sağlıklı olup olmadığını kontrol etmemizi sağlayan bir mekanizma olarak tanımlayabiliriz.

Peki, nedir sağlıktan kasıt?

Örneğin; client için güncelleme paketlerinin yüklenip yüklenmediği, güvenlik duvarı ayarlarının uygunluğu veya güvenlik duvarının açık olup olmadığı, virüsten korunma yazılımının doğru çalışıp çalışmadığı ve güncellik durumu gibi, işletim sistemlerinin stabil çalışmasına yardımcı olan ve burada sayamadığımız noktaların tümüdür.


 

NAP mekanizması bu noktaları kontrol ederek, bizim belirlediğimiz kurallar doğrultusunda gerekli önlemleri alıyor ve ağımızdaki bodyguard görevini üstleniyor.

Örneğin;

Belirlediğimiz kurullara uymayan bilgisayarların (yani sağlıklı olmayan bilgisayarlar) ağımıza erişmesine engel oluyor, çünkü bu bilgisayarlar ağımız için tehlike arz ediyor. Tabi sadece engel olmakla kalmıyor. Aynı zamanda bu bilgisayarların sorunlarının giderilmesi için de yardımcı oluyor.

NAP kontrolü, aşağıdaki 5 temel noktada uygulanabiliyor.

 

DHCP

VPN

IPSEC

802.1x (wried-wiriless)

Terminal Services Gateway

 

 

Bu makalede, en çok uygulanacağını düşündüğüm “DHCP ile NAP” konusunu ele alıyoruz.

 

Oluşturmuş olduğum örnek yapıda aşağıdaki bilgisayarlar yer alıyor:

1 Adet Windows 2003 Server  STD Server: Active Directory ortamı için, DC ve DNS rolünde.

1 Adet Windows 2008 Server STD: DHCP ve NPS (Network Policy Server) rolünde.

1 Adet Windows Vista Business: Testler için Domain Client rolünde.


 

Örnek diyagram ve bilgisayarların IP yapılandırması ise aşağıdaki gibidir.

 

clip_image001


 

                                                           NAP Topoloji Diyagramı

 


 

Network’ümüzde domain controller olan server main-dc dir. Üzerinde test.local domain’ini barındırıyor ve DNS hizmeti veriyor. TCP/IP yapılandırma bilgisi ise, yukarıdaki topoloji diyagramında görüldüğü gibidir.


 

DC makinemizin bahsettiğim şekilde yapılandırıldığını varsayarak devem ediyorum. Main-dc üzerinde yapacağımız başka bir işlem yok. Bizim için Active directory ve DNS hizmetini doğru bir şekilde verebiliyor olması yeterli.

Ayrıca yeri gelmişken hemen belirtelim, NAP ortamında DC’nin Windows Server 2008 olması gibi bir gereklilik yok. Örnek topolojide de görüldüğü üzere DC’miz Windows Server 2003 R2 dir.

Network’ümüzde Policy Server olarak görev yapacak makinemiz ise NPS01 dir. Üzerinde NPS servisi ve DHCP servisi çalıştırıyor olacak ve client’ların uygunluğu için gerekli kriterleri tutacak.

Şimdi NPS01 makinemiz ile yapılandırmaya başlayalım.


 

Yeri gelmişken hemen belirtelim, NPS makinemiz (yani NPS01) Windows Server 2008 çalıştıran bir server olmak zorunda.


 

NPS01 üzerinde Local Area Connection özelliklerine geliyoruz ve TCP/IPv4 ayarları ile başlıyoruz. Yapılandırma, aşağıda ve topoloji diyagramında görüldüğü gibidir.

 

IP        : 192.168.5.20

Mask   : 255.255.255.0

DNS    : 192.168.5.10

 

 

DNS olarak main-dc’i gösteriyoruz çünkü az sonra makineyi domain’e join edeceğiz.

 

Ayrıca NPS01 üzerinde TCP/IPv6 ’yı disable ediyoruz. IPv6 ’ya ihtiyacımız yok. Bunun için tekrar  Local Area Connection özelliklerine geliyoruz ve Internet Protocol Version 6 (TCP/IPv6) ‘nın solundaki check box’ı boşaltıp onaylıyoruz.

clip_image002

 

 


 

Artık NPS01 serverımızı tets.local domain’ine join edebiliriz. Normal bir join işleminden farkı yok.

Computer> Properties> Advenced System Settings> Computer Name> Change> Member Of bölümünden Domain’i seçiyoruz ve test.local yazıyoruz.


 

Yine aynı penceredeki More butonuna tıklıyoruz ve Primary DNS suffix of this computer olarak ta test.local yazıyoruz.

Pencereleri onayladıktan sonra gelen username/password ekranında, domaine join etmeye yetkili bir hesap bilgisi giriyoruz ve bir kez daha onaylıyoruz.

welcoming you to the … mesajından sonra sistemi yeniden başlatıyoruz. (Join işlemini, Server Manager konsolunu kullanarak da yapabiliriz)

NPS01 açıldıktan sonra, artık domain de oturum açmamız gerekiyor. Bunun için, domain de  Admin yetkili bir hesap kullanmalıyız (testadministrator yada Domain Admins gurubuna üye başka bir hesap)

Domain de oturum açtığımız NPS01 üzerinde DHCP ve Network Policy and Access Services rollerini yükleyerek devam ediyoruz.

Start menüsünden Server Manager konsolunu açıyoruz ve sunucuya yeni bir rol eklemek için kullanılan, Add Roles’e tıklıyoruz.

clip_image003

 


 

Gelen pencerede; Next ile ilerliyoruz.

clip_image004

 

 


 

Gelen “Select Server Roles” penceresinde; sunucu üzerine ekleyebileceğimiz roller listeleniyor. Bu bölümü kullanarak birçok rol ekleyip, wizard ile yapılandırabiliriz. Biz, NAP için gerekli olan DHCP Server ve Network Policy and Access Services rollerinin check box’larını dolduruyoruz ve Next ile ilerliyoruz.

clip_image005

 

 


 

Gelen bilgi penceresini Next ile geçiyoruz.

clip_image006

 

 


 

Aşağıda gördüğünüz “Select Role Services” penceresinde; Network Policy and Access Services için ekleyebileceğimiz alt roller listeleniyor. NAP için gerekli olan Network Policy Server rolünü tıklayarak ilerliyoruz.

clip_image007

 

 


 

Gelen pencerede; Next ile ilerliyoruz.

clip_image008

 

 


 

Yukarıdaki pencerede sarı çerçeve içine aldığım bölümler, başta eklediğimiz iki role ait.

Önce Network Policy and Access Services rolünü ve alt rollerini yapılandırdık. Şimdi ise DHCP rolünü ve ayarlarını yapılandırıyoruz.


 

Yani aynı wizard içinde birçok farklı rolü yapılandırabiliriz. Bu, Windows Server 2008 Server Manager‘a ait bir özellik.


 

Gelen “Select Network Connection Bindings” penceresinde; DHCP hizmetinin verileceği ağ bağlantısını seçerek devam ediyoruz.

clip_image009

 

 


 

Gelen pencerede; Parent Domain ve DNS adreslerini belirliyoruz. Ben tek DNS adresi ile geçiyorum. İhtiyaca göre diğerini de yapılandırabilirsiniz. Validate butonuna tıklayarak Valid uyarısını gördükten sonra Next ile devam ediyoruz.

clip_image010

 

 


 

Gelen pencerede; WINS Server’a ihtiyacım olmadığı için ayarları değiştirmeden Next ile ilerliyorum.

clip_image011

 

 


 

Gelen “Add or Edit DHCP Scope” penceresinde, Add butonuna basarak yeni bir scope oluşturuyoruz ve yapılandırıyoruz.

Havuzun ismini, dağıtılacak ip adreslerinin başlangıç ve bitiş değerlerini, alt ağ maskesi ve eğer kullanılacak ise varsayılan ağ geçidi bilgilerini giriyoruz (benim yapımda gerekli olmadığı için, ağ geçidini boş bırakıyorum) ve Active this scope check box’ının tıklı olduğundan emin olduktan sonra Ok diyerek onaylıyoruz. Next ile devam ediyoruz.

clip_image012

 

 


 

Gelen pencerede; Network’ümde IPv6 yapısı kullanmadığım için, IPv6 disable olarak Next ile devam ediyorum.

clip_image013

 

 


 

Active Directory ortamında yetkilendirilmesi gereken DHCP hizmeti için, yetkilendirmede kullanılacak bir hesap tanımlıyoruz. Ben administrator hesabını kullanıyorum. Domain ortamında admin yetkili bir hesap olmalı.


 

NPS01 üzerinde testadministrator hesabı ile oturum açtığım için aşağıdaki ekranda Use Current Credentials seçili şekilde Next ile ilerliyorum.

clip_image014

 

 


 

Aşağıdaki pencerede; bize yaptığımız ayarlar ile ilgili bir rapor sunuluyor. Eğer bir problem yada eksik görmüyor isek, Install diyerek kurulumu başlatıyoruz.

clip_image015

 

 


 

Kurulum tamamlanınca gelen ekranında Succeeded! Bilgilerini görüyoruz ve Close ile kurulumdan çıkıyoruz.

clip_image016

 


 

Böylece NPS01 sunucumuz üzerine DHCP Server ve Network Policy and Access Services rollerini yüklemiş ve temel ayarlarını yapmış olduk.

Diğer bölümde görüşmek üzere.

Serhat AKINCI – IT Professional

 

 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu