Hyper V Üzerinde Direct Accesses

Merhaba;

Resim içinde Hata mesajını göremiyorum.

Okunabilir bir resim veya Post içine yazı ile hatanızı ekleyebilirmisiniz?

The interface must not be classified as a domain network hata bu.

 

Merhaba;

ICMPv4 EchoRequest (Inbound-Outbound)

ICMPv6 EchoRequest (Inbound-Outbound)

yukarıdaki firewall kurallarını uyguladınız mı ?

Problem kaynağı için technet üzerinde verilen bilgi Firewall kuralları yapılandırılmadığı içindir. Detaylı bilgi aşağıda yer almaktadır.

The interface that you have specified for the intranet (internal network) is connected to a network that has been assigned the Private or Public firewall profile. The intranet interface must be connected to a network that has been assigned the Domain profile, which contains a domain controller. Select a different interface.

You can use the netsh advfirewall monitor show currentprofile command to display the networks to which your computer is attached and their assigned profiles. Then, use the Network Connections window to determine the networks to which the interfaces are connected.

 

Bütün ayarlar anlatıldığı gibi yapılmış durumda açmadığım port kalmadı ,Hala aynı hatayı alıyorum .

Merhaba;
aşağıdaki makalede ilk yapılandırma için gerekli bilgiler paylaşılmıştır.

incelemenizi istiyorum.

Direct Access hakkında kısa bilgiyi Direct Access nedir başlıklı yazımızda sunmuştuk. Direct Access kurulumunu ise 4 bölüm olarak ele alıp; Domain Controller üzerinde yapılması gerekenler, Uygulama ve Web Serverlar üzerinde yapılması gerekenler, Direct Access Server’ın kurulumu ve Client’lerin bağlantısının hazırlanması olarak açıklayacağız.

Direct Access kurulum işlemlerini açıkladığımız bu makelelerimizde tüm sunucular üzerinde Server 2008 R2  tüm istemciler üzerinde Window 7 Ultimate kullanılmıştır.

Bu bölümde Direct Access teknolojisinin kullanılması için Domain çapında ve Active Directory üzerinde yapılması gerekenleri ele alacağız.

Direct Access Kullanımı için Domain Çapında Yapılması Gerekenler:

Direct Access Server yapılandırma ve Direct Access kullanımı için Domain’in genel yapısı içerisinde Windows Firewall kuralları üzerinde düzenlemeler, Ipv6 tunel için TCP-IP yapılandırma ve düzenlemeleri ile Direct Access kullanımı için sertifika yapılandırma ve dağıtım işlemlerine ihtiyaç vardır.

Domain bünyesinde çalışan tüm bilgisayarlar için Direct Access’in ihtiyaç duyduğu Windows Firewall izinlerini düzenlemek üzere Group Policy aracı ile merkezi olarak Windows Firewall ayarlarını düzenlemeliyiz.

 

İhtiyaç duyulan kurallar;

1.ICMPv4 EchoRequest (Inbound-Outbound)

2.ICMPv6 EchoRequest (Inbound-Outbound)

Windows Firewall kurallarını yapılandırmak için Default Domain Policy üzerinde

 

Computer Configuration>Windows Settings>Security Policies>Windows firewall with Advanced Security>Inbound Rules üzerine sağ tıklayarak New rule diyoruz.

 

Rule Type kısmında Custom seçeneği ile devam ediyoruz. Programlar sekmesinde All Programs seçili iken devam ediyoruz.

 

Protocols and Ports Sekmesinde Protocol Type altından ICMPv4 seçiyoruz ve Customize tabına geçiyoruz.

 

Customize tabında Specific ICMP types altından Echo Request seçeneğini işaretleyerek devam ediyoruz.. Kuralım oluşturulması sırasında diğer seçenekleri değiştirmeden kural oluşturulmasını tamamlıyoruz  ICMPv4 Echo Request için Inbound Rule olşturduk, Aynı şekilde ICMPv6 Echo Request isteklerine bir kural oluşturmamız gerekiyor. Belirtilen adımları Protocol Type altından ICMPv6 seçerek tekrarlıyor ve ihtiyacımız olan ikinci Inbound Rule’u da oluşturmuş oluyoruz.

Direct Access’in çalışabilmesi için Windows firewall üzerinde Outbound Rule’lar üzerinde de aynı iki protokol içn kural oluşturmalıyız. bunun için;

Computer Configuration>Windows Settings>Security Policies>Windows firewall with Advanced Security>Outbound Rules üzerine sağ tıklayarak New rule seçeneği ile yine aynı adımları takip ederek İCMPv4 ve ICMPv6 protokollerine izin veren iki kural oluşturuyoruz.

Clientlerimizin ve Direct Access ile clientlere hizmet verecek olan sunucularımız oluşturulan kuralları group policy aracılığı ile alıp almadıklarını test ettikten sonra Domain bünyesinde hizmet veren Certification Authority ile Direct Access clientlerin Ipsec bazlı kimlik doğrulamalarını gerçekleştirmelerinde kullanılacak bir custom template oluşturmalıyız.

Root CA’in kurulu olduğu sunucumuda MMC üzerinden Certifiacates Templates snap-in’ini açarak;

 

Web Server template’ine sağ tıklayıp Duplicate Template diyoruz. Kopyalama işlemi için bize 2 seçenek sunuyor Server 2003 ve Server 2008. Server 2008 işaretli iken kopyalama işlemine yeni bir isim vererek devam ediyoruz. Karşımıza gelen pencerede Security tabına tıklayarak Authenticated Users için Enroll iznini tanıyoruz. Add diyerek Domain Computers öğresini ekliyor ve Enroll hakkını tanıyoruz.

 

Request Handling tabına geçerek Allow private key to be exported seçeneğini aktif ediyoruz.

 

Bu işlemler sonunda Direct Access için kullanılacak server sertifikasının şablonunu oluşturmuş oluyoruz.Bu işlemler sonrasında Enterprise Root CA için CRL distribution ayarlarını yapılandırma işlemine geçeb,liriz.

Certification Authority yönetim ekranında CA’in kurulu olduğu server ismine sağ tıklayarak Properties seçeneği ile gerekli ayarları düzenleyeceğiz.

 

Properties penceresinde Extensions tabına geçerek Certificate Revocation List (CRL) yolunu belirlemeliyiz.

 

Add diyerek domainimiz için gerekli ayarlamaları yapacağımız ekrana geliyoruz. Location kısmına domain ismimize göre düzenleyerek http://crl.bilgeadam.com/crld/ yazıyoruz. bir alt seçenek olan Variable sekmesinde <CaName> seçili iken insert tuluna basıyoruz aynı değişken ekranından <CRLNameSuffix> ve <DeltaCRLAllowed>  değişkenlerini de ekliyoruz. Location kısmında oluşan web adresininde 3 değişkenin hemen sonunda .crl ekliyerek Ok diyerek kapıyoruz.

 

Oluşturduğumuz yeni CRL adresi seçili iken Include in CRL’s. Clients use this to find Delta CRL locations ve Include in the CDP extensions of issued certificates seçeneklerini işaretliyoruz.

Oluşturmamız gereken ikinci kayıtta ise Direct Access Server’ımızı belirtmemiz gerekiyor. Bu kayıt için de aynı pencere de Add diyerek yeni bir CRL oluşturuyoruz.

 

Location tabına \\da\crldist$\ adresi ile local networkteki Direct Access serverımızın yolunu belirtiyor ve crldist$ klasorunu gosterıyoruz. Onceki CR’de olduğu gibi yine Variable sekmesinde <CaName> seçili iken insert tuluna basıyoruz aynı değişken ekranından <CRLNameSuffix> ve <DeltaCRLAllowed>  değişkenlerini de ekliyoruz. Location kısmında oluşan web adresininde 3 değişkenin hemen sonunda .crl ekliyerek Ok diyerek kapıyoruz.

 

Oluşturduğumuz yeni CRL adresi seçili iken Publish CRL’s to this location ve Publish Delta CRLs to this location seçeneklerini işaretliyoruz.

CRL yayınlama işlemlerini tamamladıktan sonra ise sertifika yönetimi adına yapmamız gereken son işlem Root CA’in domain çapında bir Computer sertifikası dağıtmasını sağlamak. Bunun için Group Policy’lerden faydalanacağız.

 

Default Domain Policy’i özelleştirerek gerçekleştireceğimiz bu işlem için;

Computer Configuration>Policies>Windows Settings>Security Settings>Public Key Policies>Automatic Certificate Request Settings  üzerine sağ tıklayarak New>Automatic Certifiace Request ile Computer sertifikasının domain çapında Auto-Enroll olmasını sağlıyoruz.

Active Directory Üzerinde Yapılması Gerekenler:

Domain çapında yapılması gerekenler bu kadar şimdi ise Active Directory üzerinde Direct Access’i kullanacak client bilgisayarlar için bir grup oluşturmalıyız.

 

Start>Run>dsa.msc yazarak Active Directory Users and Computers ekranına gelip burada Yeni bir Global Security Group oluşturmamız gerekiyor Bu gruba daha sonra Direct Access ile yerel kaynakları kullanacak, uzak erişim yapacak bilgisayarları belirleyecegiz.

Bu ilk yazımızda Direct Access kurulumu için Domain çapında yapılması gereken ayarlardan bahsederek Active Directory’de Direct Access ile merkeze bağlanacak bilgisayarları belirleyeceğimiz bir grup oluşturduk. Bir sonraki yazımızda Direct Access Server’ın kurulumunu gerçekleştireceğiz.

Merhaba;

yukarıdaki makaleyi uygulamadan önce sahip olduğunuz IP yapılandırmasını tekrardan gözden geçirirmisiniz?

İç bacakta Apipa olarak IP almışsınız. iç IP nin 169 olarak görülmekte. Bu yapılandırma ile işlemlere devam edemezsiniz.

Direct access uygulamasını gerçekleştirebilmek için Clasfull IP Bloğu kullanmalısınız.

İlginiz için çok teşekürler ,

 Direct Acces Server 2008 R2 : internet bacağı: 215.86.115.1,2  local bacağı : 10.0.0.99        netmask: 255.255.255.0 Dns : 10.0.0.2 uygulamış olduğum ip ayarları bu şekilde ve yukarıda yazan ayarlar aynen uygulanmış durumda .Sorun

Windows Firewall daki properties > IPsec  Settings > IPsec exemptions > no (default) olarak geliyor. Onu yes yaptıktan sonra problem düzeldi .

R/E
Kolay gelsin.