Windows Server

DHCP Üzerinde Network Access Protection – Bölüm2 (Network Policy Server üzerinde NAP, SHVs ve DHCP Yapılandırması)

 

Bir önceki bölümde NAP ortamından bahsettik ve NPS01 üzerine DHCP Server ve Network Policy and Access Services rollerini ekleyip, temel ayarlarını yaptık.

Bu bölümde ise, NPS01 üzerinde NAP Wizard kullanarak yapılandırmaya devam edeceğiz ve ayrıca SHVs ayarlarını yapacağız.

 

NAP Wizard’a ulaşmak için;

Start> Run > nps.msc yazıyoruz ve Network Policy Server konsolunu açıyoruz.

Konsol içinde Configure NAP ‘e tıklıyoruz.

clip_image001


 

 


Karşımıza aşağıdaki “NAP Configuration” sihirbazı geliyor.

 

İlk pencerede, Network connection method olarak gelen listede de görüldüğü üzere, farklı NAP uygulama metotları mevcut. Biz makale konumuz olan ve en sık tercih edileceğini düşündüğüm Dynamic Host Configuration Protocol (DHCP) seçiyoruz.

Policy Name kısmında istediğimiz bir isim verebiliriz, ben değiştirmeden Next ile ilerliyoruz.

clip_image002

 

 


Aşağıdaki pencerede; DHCP server zaten NAP sunucumuz üzerinde yüklü olduğu için bir ayar yapmadan devam ediyoruz. Bazı durumlarda DHCP hizmetini farklı bir sunucu ile sağlıyor olabiliriz. Bu durumda NAP sunucumuzun RADIUS Client olarak yapılandırılması ve network’te kimlik doğrulaması gerekebilir.

 

clip_image003

 

 


Aşağıdaki pencerede; eğer ki ihtiyacımız varsa, farklı dhcp scope’lar tanımlayabiliriz. Biz DHCP’i yapılandırırken bir tane scope tanımladığımız için ve şimdilik başka scope’a ihtiyacımız olmadığı için tekrar tanımlamıyorum. Next ile devam ediyoruz.

 

 clip_image004

 

 


Aşağıdaki pencerede; bu policy ayarının etki edeceği bilgisayarları belirleyebiliyoruz. Bunu daha sonra tanımlayacağımız için boş bırakarak Next diyoruz.

 

clip_image005

 

 


Aşağıdaki pencerede; sağlıksız bilgisayarların sağlıklı hale gelmesine yardımcı olacak olan Remediation Server lar için gurup ayarı var. Müdahale etmeden Next ile devam ediyoruz. Çünkü bu ayarı da daha sonra yapacağız.

 

clip_image006

 

 


Aşağıdaki “Define NAP Health Policy” penceresinde; Windows Security Health Validator ve Enable auto-remediation of client computers check box’larının tıklı olduğundan emin oluyoruz.

 

Ayrıca policy’e uymayan bilgisayarların ağa tam olarak erişemeyeceğini, yalnızca kısıtlı bölgeye erişebileceklerini tanımlayan Deny Full Network Access to NAP-ineligible … ayarının seçili olmasına dikkat ediyoruz.

clip_image007

 

 


Aşağıdaki pencerede; Finish butonu ile yapılandırmayı bitiriyoruz.

 

clip_image008

 

 


 

 


Böylece temel NAP yapılandırmasını bitirmiş olduk.

 

Şimdi ise SHVs, yani clinet’lar üzerinde zorunlu koşacağımız ve kontrolünü yapacağımız gereklilikleri yapılandırıyoruz.

Aynı konsol üzerinde devam ediyoruz. (nps.msc)

Network Access Protection altında System Health Validators ‘a geliyoruz ve Windows Security Health Validator’a çift tıklıyoruz.

clip_image009

 

 


Gelen pencerede Configure butonuna tıklıyoruz.

 

clip_image010

 

 


Gelen pencerede; A firewall is enabled for all network connections dışındaki tüm kutucukları temizliyoruz çünkü sadece windows firewall’un açık olmasını zorunlu koşacağız. Yapılandırabileceğimiz diğer ayarları da açıkça görebiliyorsunuz.

 

Yeri gelmişken altını çizelim; aşağıdaki pencerede birde Windows XP tabı olduğunu görebilirsiniz. Şu an için Windows XP sistemlerde NAP Client desteği yok ancak XP SP3 pakedi ile NAP desteğinin gelmesi bekleniyor.

clip_image011 

 

 


Tanımlarımızı yaptıktan sonra OK diyerek Windows Security Health Validator penceresini kapatıyoruz.

 

SHVs tanımı bu kadar. Nps.msc konsolunu kapatabiliriz.

NPS01 üzerindeki DHCP servisini, NAP için yapılandırarak devam ediyoruz.

Hatırlarsanız DHCP servisini ilk makalede, server manager’ı kullanarak yüklemiş ve genel tanımları yapmıştık.

Şimdi ise kullandığımız scope için (192.168.5.x) NAP ayarlarını yapıyor olacağız.

Start> Run> dhcpmgmt.msc  yazarak DHCP konsolunu açıyoruz.

İlgili scope’a (NAP Havuzu) sağ tıklayıp Properties diyoruz.

clip_image012

 

 


Gelen Properties penceresinde Network Access Protection tabına geçiyoruz ve Enable for this scope ‘u ve Use default Network Access Protection profile ‘ı işaretliyoruz.

 

Buradan anlaşılacağı gibi, farklı NAP ayar profilleri tanımlayıp uygulayabiliyoruz.

clip_image013

 

 


OK diyerek pencereyi kapatıyoruz.

 

Böylece NAP ayarlarını, bu scope için (Nap Havuzu) etkin kılmış olduk.

Kullandığımız scope üzerinde iki farklı ayar gurubu (class) olmalı.

İlk class, öngördüğümüz özelliklere uyan yani NAP kontrolünü başarı ile geçen client’lara atanacak ve ağımıza tam olarak erişmelerini sağlayacak TCP/IP ayarlarını içeriyor olacak. (Default User Class)

İknci class ise, NAP kontrolünden geçemeyip kısıtlı alana alınacak client’lara atanacak TCP/IP ayarlarını içeriyor olacak. (Default Network Access Protection Class)

Uyumlu olarak sınıflandırdığımız, yani NAP kontrolünden başarı ile geçen clinet’ların alacağı TCP/IP ayarlarını tutacak olan ilk class’ı yapılandırarak devam ediyoruz.

DHCP konsolunu açıyoruz ve oluşturduğumuz scope altında, Scope Oprions’a sağ tıklayıp Configure Options diyoruz.

clip_image014

 

 


Advenced tabına geçiyoruz ve User Class kısmında Default User Class seçili olduğundan emin oluyoruz.

 

clip_image015

 

 


006 DNS Servers olarak 192.168.5.10 veriyoruz. Bu adres, ağımızda DNS hizmetini veren server. Yani main-dc.

 

clip_image016

 

 


Aynı pencerede, 015 DNS Domain Name olarak test.local veriyoruz. Bu DNS Domain adımız. Yani tam erişime sahip clinet’ların bulunacağı domain.

 

clip_image017

 

 


Diğer ayarlar isteğimize bağlı. Eğer ihtiyacımız varsa, default gateway yada wins gibi diğer TCP/IP ayarlarını da atayabiliriz.

 

Default User Class, yani NAP kontrolünden başarı ile geçen client’ların ip alacağı class üzerinde yapacağımız ayarlar bu kadar.

Şimdi ise Uyumsuz olarak sınıflandırılacak, yani NAP kontrolünden başarı ile geçemeyen clinet’ların alacağı TCP/IP ayarlarını tutacak olan ikinci class’ı yapılandırarak devam ediyoruz. Yani Default Network Access Protection Class.

Yine aynı scope altında Scope Oprions’a sağ tıklayıp Configure Options diyoruz.

clip_image018

 

 


Yine Advenced tabına geçiyoruz ve bu sefer User Class kısmında Default Network Access Protection Class seçili olmasını sağlıyoruz.

 

clip_image019

 

 


006 DNS Servers olarak 192.168.5.10 veriyoruz.

 

clip_image020

 

 


Aynı pencerede, 015 DNS Domain Name olarak restricted-zone.test.local veriyoruz.

 

Bu domain name, NAP kontrolünden geçemeyen client’ların alınacağı kısıtlı domain bölgesini temsil ediyor. restricted-zone yazmak gibi bir zorunluluğunuz yok. Farklı isimler de kullanabilirsiniz.

clip_image021 

 

 


Apply ile bitiriyoruz.

 

Böylece, her iki tip client (uyumlu ve uyumsuz) için gerekli class ayarlarını tamamlamış olduk.

Diğer bölümde görüşmek üzere.

Serhat AKINCI – IT Professional

 

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu