Ts Gateway Manager konsolu ile W2008 Terminal Services Gateway serverimizin yapılandırılması ve kurulum sonra düzenleme işlemlerini inceleyeceğiz. TS Gateway Konsolumuz üzerinden yapacak olduğumuz işlemleri özetlersek ;
· TS Gateway serverimiz üzerine Sertifika yüklenmesini ve değiştirilmesi,
· TS CAP ve TS RAP Policylerinin düzenlenmesi
· TS Gateway üzerinden bağlantı kuran bilgisayarların ve kullanıcılarının izlenilmesi gibi işlemleri yapabileceğimiz bir konsoldur.
TS Gateway Manager Konsolumu Microsoft Managment Console 3.0 alt yapısını kullanmakta olup, networkümüz içinde bulunan çoklu Ts Gateway (TS FARM) Serverlarımızı, oluşturacak olduğumuz özelleştirilmiş bir konsol ile tek bir ekran üzerinden yönetmemize olanak sağlayan bir konsoldur.
Serverimiz üzerine TS Gateway rolünü yükledikten sonra göreceğimiz ilk ekran yukarıda ki gibi olup yönetimsel işlemlerimizi yapmak üzere yönlendirileceğimiz, ilgili kısayolların (Sertifika yükleme, TS CAP, TS RAP Politikalarını düzenleme vb..) bulunduğu ana ekrandır.
Kurulum sırasında TS Gateway için bir Sertifika belirtmemiş ve kurulum sonrası Sertifika yükleyeceğimizi seçmiştik. TS Gateway Server üzerine herhangi bir sertifika yüklenmediği için konsolumuz üzerinde ki hata mesajı (A server certificate is not yet installed or selected) bölümünü görmekteyiz. İlgili hatanın üzerine tıkladığımız zaman Ts Gateway serverimizin özellikler bölümüne yönlendirilmekteyiz.
Aynı bölüme Serverimiz üzerinde (W2008ACHILLEUS) sağ tuş özellikler butonuna basarak da ulaşabilmekteyiz.
SSL Certificate bölümünde serverimiz için sertifika oluşturacağız. Hazırda oluşturmuş olduğumuz ve kullanılabilir bir sertifika olmadığı için Select an existing certificate for SSL encryption bölümünün seçilemez olduğunu görebilmekteyiz. Create Certificate bölümü ile sertifika oluşturmak üzere yönlendiriliyoruz.
Sertifika oluşturmak için yönlendirildiğimiz de Certificate name bölümüne giriş yapıyoruz.
Create a self,signed certificate with a common name (CN) of ;
Bu bölümde , resimde 1 olarak görmüş olduğumuz alana yazacak olduğumuz common name (hangi isim ile bağlantı kurulacak ise) bu bölüme onu yazmaktayız.
Not : Dünya üzerin de comp olarak bir uzantı bulunmamaktadır. Güvenlik sebebiyle kurmuş olduğum domain ismi comp’ dur ve şirkete özel bir iç (local) domain uzantısıdır. Bu uzantı dış dünyada bilinmediği için bağlantı kuracak olan Terminal Services Gateway Client’ ların %systemroot%system32driversetchost dosyasını editleme işlemini yani comp uzantısı için manuel bir kayıt girme işlemini yapmaktayım.
File name ;
Oluşturacak olduğumuz sertifikanın depolanacağı yeri belirtiyoruz. Varsayılan olarak c:UsersadministratorDocuments altında barınmaktadır.
Terminal Server Gateway Serverimiz için başarılı bir şekilde oluşturmuş bulunmaktayız. TS Gateway Manager Konsolu içinden çıkıp, oluşturmuş olduğumuz sertifikamızı Güvenilen Sertifikalar bölümüne yüklemek üzere MMC Konsolumuzu açıyoruz.
Aşağıda ki adımları izleyerek MMC Konsolumuza Sertifika bölümünü ekleyebiliriz.
- Başlat Çalıştır MMC
- File Addremove Snap-in
- Add (Ekle)
- Certicicates (Sertifika)
- Computer Acount (Bilgisayar Hesabı)
- Finish (Bitir)
- Close (Kapat)
- Ok (Tamam)
MMC Konsolumuz açıldıktan sonra
- Console Root
- Trusted Root Certification Authorities (Güvenilen Sertifikalar Bölümü)
- Certificates üzerinde
- All Tasks Import yolunu izleyerek c:UsersadministratorDocuments yolu altında oluşturmuş olduğumuz sertifikayı seçerek Sertifikamızı yüklüyoruz.
Yükleyecek olduğumuz bu sertifikanın aynısı TS Gateway Client bilgisayarlarımızda da yüklü olması zorunludur.
Çalışma mantığı Server üzerine yüklemiş olduğumuz Sertifikanın, aynısı client üzerinde de yüklü olmak zorunda ki kimlik doğrulama zamanında, TS Gateway serverimiza ile client bilgisayarımız iletişime geçtiği zaman TS gateway Serverimiz, Client bilgisayardan bu sertifikayı isteyecektir. Ve eğer sertifikamız, client bilgisayar üzerinde yüklüyse iletişim başlayacaktır. Sertifikamız client üzerinde yüklü olmazsa Client bilgisayarlarımız serverimiza bağlantı kuramayacaktır.
Serverimiz üzerine Sertifikamızı yükledikten sonra, yüklemiş olduğumuz Sertifikayı seçebilmemiz için Select an existing certificate for SSL encryption (recommended) bölümünün aktifleştiğini görebilmekteyiz.
Browse Certificates bölümünü açıp oluşturmuş olduğumuz sertifikayı seçiyoruz.
Install butonu ile sertifikamızı , Serverimiz üzerine yüklüyoruz.
Sertifikamızı serverimiz üzerine yükledikten sonra TS Gateway Server konsolumuz da ki Sertifika hatasının giderildiğini görebilmekteyiz.
Terminal Servvices Gateway serverimiz artık kullanıma hazır olup , bundan sonra ki işlemleri yani TS Gateway Client bilgisayar yapılandırılmasını bir sonra ki makalemizde anlatacağız.
Bir önceki makalemiz olan Windows Server 2008 Terminal Services Gateway Bölüm 2 (W2008 TS Gateway Kurulumu) makalemizde güvenliğimiz için oluşturmuş olduğumuz TS CAP ve TS RAP Policylerini TS Gateway Manager konsolumuz üzerinden değiştirebileceğimizi söylemiştik.
Güvenlik ihtiyaçlarımız gereği bu policyleri değiştirmemiz gerekirse TS Gateway Managment Consele’ miz üzerinde Policies bölümünde bulunan
- Connection Authorization Policies (CAP)
- Resource Authorization Policies (RAP)
Bölümlerinden güvenlik policylerimizi tekrardan düzenleyebiliyoruz.
Connection Authorization Policies (CAP) Güvenlik Politikasının Düzenlenmesi
Connection Authorization Policies (CAP) bölümüne girdiğimiz zaman TS CAP olarak oluşturmuş olduğumuz policymizi görebilmekteyiz.
TS CAP Policymizin içine girdiğimiz zaman Enable this policy bölümünün seçili olduğunu ve kullanılabilir olduğunu görmekteyiz.
TS CAP Properties bölümü altında Requirments bölümünde TS Gateway Serverimiz üzerinden TS Server ve Uzak masaüstü aktif duruma getirilmiş bilgisayarlarımıza, bağlantı kuracak olan Remote Desktop kullanıcılarımız veya kullanıcı gruplarımızı bu bölümden tekrardan düzenleyebilmekteyiz.
Güvenlik ihtiyacımıza göre Windows kimlik doğrulaması haricinde Smart Card uygulamasını da bu bölümden zorunlu hale getirebilmekteyiz.
TS CAP Properties bölümü altında Device Redirection bölümünde TS Gateway Serverimiz üzerinden TS Serverlarımıza bağlantı kuracak olan bilgisayarların, bağlantı sırasında TS Serverlara veya bağlantı kuracak olduğu bilgisayarlara götürecek olduğukları kendi bilgisayar kaynaklarını (sabit sürücüler, yazıcılar, seri portları vb.) aygıtların, hangilerinin bu bağlantı ile birlikte getirilip – getirilmeyeceğini bu bölümde belirleyebilmekteyiz.
Ts Gateway Server sayesinde artık bu kaynak transferleri kullanıcının insiyatifinde olmaktan çıkmaktadır.
Resource Authorization Policies (RAP) Güvenlik Politikasının Düzenlenmesi
Resource Authorization Policies (RAP) bölümüne girdiğimiz zaman TS CAP olarak oluşturmuş olduğumuz policymizi görebilmekteyiz.
TS RAP Policymizin içine girdiğimiz zaman Enable this policy bölümünün seçili olduğunu ve kullanılabilir olduğunu görmekteyiz.
Computer Group (Bağlantı kuracak bilgisayar )
Ts RAP Policimiz ile şirket güvenlik politikalarımıza göre TS Gateway üzerinden, Terminal Serverlarımıza ve uzak masa üstü aktif duruma getirilmiş bilgisayarlarımıza bağlantı kuracak olan bilgisayarları belirleyebilmekteyiz.
Güvenlik politikamıza bağlı olarak Active Directory’ imze üye olarak tanıtılmış bilgisayarlarımızı veya VPN vb. Teknoloji vasıtasıyla tanıtmış olduğumuz bilgisayarları TS Gateway Serverimiza tanıtabilmekteyiz.
Allow users to connect to any network resource bölümünü işaretlersek TS Gateway üzerineden bağlantı kuracak olan bilgisayarların her hangi bir network üzerinden bağlanabileceklerini belirtiyoruz.
Allowed Ports (TS Gateway Serverimizin dinleyecek olduğu portlar)
Terminal serverlarımız ilk kurulum sonrası varsayılan olarak 3389 numaralı TCP IP portunu kullanmakta olup Allow Connection only through TCP port 3389 bölümünü seçersek TS Gateway Serverimizin sadece 3389 numaralı port üzerinden gelecek olan istekleri dinlemesini saylayabiliriz.
İhtiyaçımıza veya güvenlik politikalarımıza bağlı olarak bu portu değiştirmemiz mümkündür. İç networkümüzde bulunan birden fazla Terminal Server varsa ve bu terminal serverlarımızın TS Portlarını değiştirmişsek Allow connections through these ports bölümünü seçerek değiştirmiş olduğumuz portları bu bölüme doldurabiliriz. Portları örnekte olduğu gibi 3389;1903;1984 vb.. yazmamız gerekmektedir.
Allow connections through any port bölümünü işaretlersek eğer TS Gateway Serverimiz RDP Protokolü üzerinden gelecek olan bütün istekleri dinleyecektir.
TS Gateway Serverimizin Genel Özellikleri.
General ;
TS Gateway Managerimizin özelliklerine girdiğimiz zaman ilk olarak TS Gateway Serverimiz üzerinden bağlantı kuracak olan bilgisayarları sınırlayabidiğimizi görebilmekteyiz.
Varsayılan olarak bu sayı network bağlantımızın ve serverimizin kaynaklarına bağlı olarak limitsizdir.
İlk seçenek olan Limit maximum allowed simultaneous connection to bölümüne belirtecek olduğumuz sayıya göre TS Gateway Serverimiz bağlantıları sınırlayabilir. Bu bölümü sahip olduğumuz Terminal Server kullanıcılarımız veya Serverimizin kaynaklarına bağlı olarak değiştirebiliriz.
Veya Disable new connections bölümünü seçerek, TS gateway serverimizin artık yeni bağlantıları kabul etmemesini sağlayabiliriz. Bu bölümü seçtiğimiz zaman mevcut bağlantılar etkilenmeyecek olup, eğer bağlantıları koparsa ve tekrar bağlanmak isterlerse yeni bir bağlantı kuracakları için bağlanamayacak duruma gelecektir.
TS CAP Store ;
TS Gateway Serverimiz, düzenlemiş olduğumuz güvenlik politikalarını uygulayabilmek için arka tarafta Network Access Policy (NAP) ve Network Policy Server (NPS) Servisini kullanmakta olup Single kurulumda TS Gateway Serverimiz üzerine bu rolün yüklü olması gerekmektedir.
Networkümüzün büyüklüğüne göre, Çoklu TS Gateway serverlarımız varsa veya NAP için dizayn etmiş olduğumuz özel bir serverimiz varsa TS Gateway serverimiz üzerine tanımlamış olduğumuz politikaların bu server üzerinden almasını sağlayabiliriz.
Server Farm ;
Networkümüzün büyümesine bağlı olarak TS Gateway için bir FARM oluşturabilir ve bu farm sayesinde yük dengelemesi ve hata şansını minimize etmiş olabiliriz.
Auditing ;
Winsows Server 2008 ile birlikte olay günlüğü izlemesi daha kolaylaşmış olup , kullanmış olduğumuz server üzerine yüklemiş olduğumuz her bir role için ayrı ayrı izlemeler yapılmaktadır.
Ts Gateway Rolünün yüklenmesi ile birlikte Olay görüntüleyicimiz içinde TS Gateway olarak bir dizin açılacak olup, TS gateway üzerinde oluşan hataları, bağlantıları vb. Olayları daha rahat kontrol etmemiz için bir dizin oluşacaktır.
Bu dizin içerisinde yer alacak olan olay günlüklerini Auditing bölümünden seçebiliyor ve yönetimimizi kolaylaştırıyoruz. Bu bölüm içerisinde seçecek olduğumuz başlıca olay günlükleri başarılı ve başarısız bağlantılar, kullanıcı yetki ve bağlantı sırasında getirmiş olduğu kaynaklar ile ilgili günlükleri izleyebilmekteyiz.
Örnek bir Event ID (olay günlüğünü) yorumlayacak olursak, kolaylaşan yönetimimizi daha net ifade etmiş olacağız.
-
Bilgi günlüğü olup 303 (başarılı bağlantı) numaralı EVENT ID ye sahip bir eylemdir.
-
Data and Time bölümünde Eylemin gerçekleşmiş olduğu saat, gün, tarih bilgisini bizlere vermektedir.
-
Eylemi gerçekleştiren kullanıcı
-
Eylemin gerçekleştirilmiş olduğu bilgisayarın sahip olduğu IP adresi. (Eylem WAN tarafından gerçekleşirse eğer bağlantı kurulan WAN bacağının IP adresinin bilgisi verilecektir.)
-
TS Gateway üzerinden hangi bilgisayara bağlantı kurulduğu.
-
Bağlantıyı kuran bilgisayarın, bağlantıyı kurduğu zamandan itibaren göndermiş olduğu paket boyutu.
-
Bağlantıyı kurmuş olduğu Terminal Server üzerinden, bağlantıyı kuran bilgisayara giden paket boyutu.
-
6 ve 7 numaralı bilgiler sayesinde internet bandwith yoğunluğumuzu da öğrenmemiz artık daha kolaydır.
Fatih KARAALIOGLU