Remote Desktop Services Yüksek Erişilebilirlik Çözümleri Bölüm 15 RD Gateway Topoloji Seçimi

Remote Desktop Services Yüksek Erişilebilirlik Çözümleri makale serimizin bu bölümünde RDS rollerimiz arasında bulunan ve RDS oturumlarının güvenliğinden sorumlu bulunan RD Gateway Rolümüz için Topoloji seçimini gerçekleştireceğiz.

RD Gateway Rolü Windows Server 2008 ile birlikte tanışmıştık. RD Gateway Rolünün amacı Windows Server 2012 R2 ile birlikte gelişmiş durumdadır ama amacı aynıdır.

RD Gateway rolü Network Policy Server üzerinde oluşturmuş olduğumuz Resource Authorization Policies (RD RAPs) ve Connection Authorization Policies (RD CAPs) politikalarını kullanmakta ve RDS ortamına gerçekleştirilecek olan bağlantıları, bağlantı isteklerini daha güvenli bir durumda getirmektedir.

RD Gateway ortamlarında, RDS erişimi local network adresinden yapıldığı zaman RD Gateway sunucusu kullanılmadan yapmamız mümkündür. Sonuçta güvenlik önlemlerini aldığımız zaman her bağlantı şeklinde olduğu gibi bir yavaşlık söz konusudur ve yapımızın durumuna göre local network için RD Gateway kullanımını devre dışı bırakabiliriz.

Kullanıcılarımız RDP bağlantılarında bu ayarları opsiyonlu olarak yaptırta bilmekteyiz. Veya RDP aracını özelleştirip local network içinde bulunan kullanıcılarımıza özelleştirdiğimiz RDP aracı ile bağlantı yaptırtabilir ve politikalarımızı kullanıcı inisiyatifine bırakmadan gerçekleştirebiliriz.

RDP aracında olduğu gibi RD Web Access üzerinden gerçekleştirilecek olan RDS bağlantılarını benzer şekilde yapılandırma imkânımız bulunmaktadır.

Network Policy Server kurulumunu RD Gateway kurulumunu yaptığımız sırada RD Gateway sunucumuz üzerine bu rolü kurabiliriz. Eğer RDS farmımız içinde tek bir tane RD Gateway varsa bu yapılandırma yapılabilir.

RDS ortamımız içinde bulunan RDS Rollerinin her bir tanesi için yüksek erişilebilirlik mimarisini yapılandırdıysak NPS Server sunucumuzu RD Gateway sunucumuzun haricinde bir sunucu üzerinde yapılandırılması önerilmektedir. Veya bir diğer seçenek olan her iki RD Gateway sunucumuz üzerine NPS Server kurarız ve RD Gateway sunucularımızdan bir tanesi üzerine RAP ve CAP policiylerini gerçekleştirip oluşturmuş olduğumuz bu policyleri Export yöntemi ile yedekleriz. Ve sonrasında diğer RD Gateway sunucumuz üzerine Import işlemini gerçekleştirip Policylerimizin eşitlenmesini sağlayabiliriz. Bizler makale serimiz içinde bu işlemi gerçekleştireceğiz.

Yukarıdaki Topoloji içinde tek bir tane Firewall kullanılmıştır ve RDS Farmı ile RD Gateway sunucumuz aynı network (internal) içinde barınmaktadır. Bu yapı için amaç RD Gateway Rolünün temel amacı olan RDS ortamına daha güvenli bağlantı ihtiyacını karşılamak üzere tasarlanmıştır. Bu Topolojide NPS server RD Gateway rolünün üzerinde konumlandırılabilir.

RD Gateway sunucusu diğer topolojilerde olacağı gibi temel RDS bağlantılarını Secure Sockets Layer (SSL) üzerinden RDP bağlantılarını kapsülleyecektir.  External-To-Int ismi ile belirtmiş olduğumuz firewall kuralında sadece Https protokolü RD Gateway sunucumuza yönlendirilecektir. External Network üzerinden gelen RDP istekleri RD Gateway sunucumuza Https protokolü üzerinden ulaştıktan sonra RD Gateway sunucumuz gelen istekleri kontrol edecek ve RDP bağlantısını gerçekleştirecek veya yok sayacaktır.

Yukarıda belirtmiş olduğumuz ikinci topoloji içinde RD Gateway sunucumuz DMZ networkü içinde konumlandırılmıştır. External networkten gelen RDP istekleri Https protokolü üzerinden DMZ networkü içinde bulunan RD Gateway sunucumuza ulaşacaktır. RD Gateway sunucumuz ile RDS farmı içinde bulunan sunucularımız arasında Http ve Rdp protokollerinin izinli olması gerekmektedir.

Bu firewall üzerinde izinli duruma getirilmesi gerekli başka protokollerde bulunmaktadır. Bu protokoller Dmz-To-Internal olarak isimlendirilecektir ve NPS server ve Domain Controller sunucumuz ile iletişim kurabilmesi için gereklidir. İzinli duruma getirilmesi gerekli olan bütün protokoller aşağıda listelenmiştir.

·         RD Gateway authentication trafik: DMZ bölgesinde bulunan RD Gateway ile Internal network içinde bululan Domain Controller sunucusu arasında izinli duruma getirilmesi gerekli olan protokollerdir.

§  Server Protocol = Kerberos

§  Port = TCP: 88

 

·         DNS traffic DMZ bölgesinde bulunan RD Gateway ile Internal network içinde bululan DNS sunucusu arasında izinli duruma getirilmesi gerekli olan protokollerdir.

§  Server Protocol = DNS

§  Port = TCP: 53, UDP: 53

 

·         RDP traffic: DMZ bölgesinde bulunan RD Gateway ile Internal network içinde bululan RD Session Host sunucusu arasında izinli duruma getirilmesi gerekli olan protokollerdir.

§  Server Protocol = RDP

§  Port = TCP 3389 (varsayılan port)

 

·         RD Web Access traffic: DMZ bölgesinde bulunan RD Gateway ile Internal network içinde bululan RD Web Access Host sunucusu arasında izinli duruma getirilmesi gerekli olan protokollerdir.

§  Server Protocol = Http

§  Port = TCP 80

 

·         Certificate Revocation List traffic DMZ bölgesinde bulunan RD Gateway ile Internal network içinde bululan CRL Distribution sunucusu arasında izinli duruma getirilmesi gerekli olan protokollerdir.

§  Server Protocol = LDAP / HTTP / FTP (dağıtım çözümüne göre belirlenir)

§  Port = LDAP port = TCP: 389, UDP: 389 http Port = 80. FTP Port = 21

·         RADIUS traffic DMZ bölgesinde bulunan RD Gateway ile Internal network içinde bululan NPS Server arasında izinli duruma getirilmesi gerekli olan protokollerdir. NPS Server RD Gateway üzerine kurulmuş olsaydı bu izinlerin verilmesine gerek yoktu.

§  Server Protocol: RADIUS

§  Port = UDP: 1812

§  Server Protocol: RADIUS Accounting

§  Port = UDP: 1813

Bu protokol bilgileri diğer topolojilerde bu kadar dedaylı paylaşılmayacaktır. Sadece ihtiyaç duyulan başlıklar verilecektir.

Bu topoloji içinde iki adet firewall kullanılmıştır ve RD Gateway sunucumuz DMZ bölgesi içinde yapılandırılmıştır.

§  Dış network ile iletişimi sağlayan firewall üzerinde Ext-To-Dmz isimli kuralı oluşturmamız ve bu kural içeriğinde Https protokolüne izin vermemiz yeterlidir.

§  DMZ bölgesi ile yerel network arasında iletişim kuran firewall üzerinde Dmz-TO-Int isimli kuralı oluşturmamız ve

§  RD Gateway authentication trafik,

§  DNS traffic,

§  RDP traffic,

§  RD Web Access

§  Certificate Revocation List traffic,

§  RADIUS traffic kurallarına izin vermemiz yeterlidir.

 

Bu topoloji bir önceki topoloji ile benzerlik taşımaktadır. Bu topolojide tek fark RD Gateway sunucusu ile RD Web Access sunucusunun Dmz bölgesi içinde barındırılmış olması veya RD Gateway ile RD Web Access Sunucusunun aynı sunucu üzerinde hizmet etmesidir. Bir önceki Topolojide bahsedilen kuralların hepsi (RD Web Access Hariç) Dmz-To-Int kuralı içinde olmalıdır. Bu kurallara ek olarak Dmz-To-Int kuralı içine bir protokol daha eklememiz gerekiyor. Bu protokol DMZ bölgesinde bulunan RD Web Access sunucumu ile internal network içinde bulunan Remoteapp uygulamalarını barındırmış olduğumuz RD Session Host sunucumuz arasında olacaktır.

§  Server Protocol: WMI

§  Port = TCP: <WMI Fixed Port>

Bu topolojimizde ise DMZ bölgesine RODC kurulumunu gerçekleştirdik. DMZ bölgesine RODC veya Additionel Domain Controller kurulumu gerçekleştirdiğimiz zaman Dmz-To-Int kuralı üzerinde Ldap, DNS ve Kerberos trafiklerine izin vermemiz gerekmemektedir. Diğer Kuralları bir önceki topolojimizdeki gibi yazmamız gerekmektedir. İzin kuralı yazmamız gerekli olan protokoller

§  RDP Trafik

§  Radius Trafik

§  WMI

§  RODC ile Internal Network içinde bulunan Domain Controller protokolleridir.

§  Server Protocol: EPM

§  Port = TCP: 135

§  Server Protocol: FrsRpc

§  Port = TCP Static 53248

§  Server Protocol: LDAP

§  Port = TCP 389

Bir önceki topolojimiz içinde RODC’ yi DMZ bölgesine taşımıştık. DMZ bölgesinde bir RODC olduğu için NPS sunucumuzu DMZ bölgesine taşıyabiliriz ve daha güvenli bir ortam oluşturabiliriz. Bu topolojimizde izin verilmesi gerekli olan protokoller bir önceki topolojiler ile benzerlik taşımaktadır. Dmz-To-Int kuralı üzerinde vermemiz gerekli olan kurallar

§  RDP trafik

§  WMI trafik ile sınırlıdır.

Bu son topolojimiz içinde bir Datacenter için ihtiyaç duyulan yapılandırmalardan bahsedeceğiz. Topoloji içinde görüldüğü gibi DMZ bölgesi içinde bulunan sunucular Internal network içinde bulunan RDS ortamındaki sunuculardan farklı bir domain (etki alanı) içinde barınmaktadır. Yani DMZ bölgemiz içinde a.local, internal network içinde b.local vb. isimli iki farklı etki alanımız bulunmaktadır. Bu yapılandırmada DMZ bölgesi içinde bulunan etki alanı ile internal network içinde bulunan domain arasında Two-Way-Trsut oluşturulması ve RDP trafik ve WMI trafiklerinin verilmesi yeterlidir.

Son topoloji kullanım alanları çoklu şirketlerin, Holdinglerin ve Datacenter hizmeti vermekte olan yapılar için geliştirilmiştir. RD Gateway sunucumuz üzerinde her bir Domain için ayrı-ayrı RAP ve CAP Politikalarının oluşturulması gerekmektedir. Böylelikle çoklu domain ve çoklu RDS mimarileri için tek bir RD Gateway sunucusu ile çözüm üretebilmekteyiz.

Exit mobile version