Windows Server 2012 R2 WorkPlace Join – Bölüm 1

Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 2012 R2’nin özelliklerini incelemeye devam ediyoruz. İki bölümden oluşan makalemizde Windows Server 2012 R2’nin en katma-değerli yeniliklerinden biri olan “WorkPlace Join” yeniliğini inceliyoruz. Makalemizin ilk bölümünde genel olarak WorkPlace Join mimarisini, teknoloji trendlerindeki yerini ve ortam gereksinimlerini anlatıp, WorkPlace Join uygulaması için kullanacağımız laboratuvar ortamını hazırlayacağız.

Teknoloji Trendleri ve WorkPlace Join

Buluta entegre işletim sistemi sloganı ile çıkan Microsoft’un yeni nesil sunucu işletim sistemi Windows Server 2012 R2 ile bilgi çalışanları çözümlerine katma-değer sağlayan ve bunu da güvenilir, güvenli ve izlenebilir bir altyapı ile gerçekleştirmeyi hedefine koyan yeni vizyonun amacı “insan merkezli BT vizyonunu” hayata geçirmektir. Özellikle ürünün planlama ve geliştirilme sürecinde kurumsal bilginin korunması ve yönetimi etrafında yükselen iki önemli teknoloji trendi yükseliyordu. Bunlardan birincisi kullanıcılar ya da çalışanlar tarafından gereksinim duyulan “Farklı cihazlardan konum bağımsız çalışabilme ihtiyacı”, bir diğeri de BT çalışanları için önem arzeden “Tüm çalışanlara konum ve cihaz bağımsız erişim imkanı sağlarken, kurum verilerinin güvenliğini garanti altına almak” konseptidir.

 

Son birkaç yıldır mobil cihazlar çok yüksek seviyede bir kullanım yaygınlığına ulaştı. Ve hayatımızın neredeyse büyük bir oranını mobil cihazlar ve servislerle planlayarak yaşıyoruz. Bu değişim iş dünyasını da doğal olarak etkisi altına almış durumda. Tabi burada dikkat edilmesi gereken en önemli konu mobil ekosisteminizdeki sınırları doğru tanımlamak. Bu konuda Gartner’ın 2014 teknoloji trendlerini incelediğimizde 2018’e kadar mobil dünyadaki gelişmeler ve aygıt çeşitliliğinden dolayı özellikle şirket ortamındaki kaynakların mobil dünyaya erişime açılmasında bugünden ciddi bir strateji ve sınırlar belirlenmezse bir kaos yaşanacağı tahmin ediliyor. Bundan önceki makalelerimizde mobil dünyaya açılması düşünülen alanların başında da organizasyonların sahip olduğu bilgi, belgelerin depolandığı ve yönetildiği “dosya sunucuların” olduğunu ve Windows Server 2012 R2 ile dosya sunucu hizmetlerinde gelen “Work Folders” özelliği sayesinde şirket ortamındaki dosya sunucusunu “güvenilir ve güvenli bir mimaride konum bağımsız erişime” açmayı tüm detaylarıyla ve uygulamalı olarak incelemiştik. Yine yeni nesil işletim sistemi Windows Server 2012 R2 ile BYOD (Bring Your Own Device) alanındaki yenilikleri de Windows Server 2012 R2 Active Directory İle Teknolojide Yeni Trendler başlıklı makalemizde paylaşmıştık. Öncelikle bu makaleyi okumanızı özellikle tavsiye ederim.

BYOD hedeflerini gerçekleştirme noktasında Windows Server 2012 R2 ile gelen çözüm: Active Directory WorkPlace Join.

Active Directory WorkPlace Join ile geleneksel Windows domain bağlantısına benzer bir yapıda, fakat daha transparan gerçekleşen bir çözümle şirket kaynaklarına erişim sağlanıyor.  Bu  çözümde bir mobil aygıt Workplace Join ile kayıt olduktan sonra , active directory içerisinde o cihazla ilgili bir aygıt nesnesi oluşturuluyor. Ve bu nesne de cihazı kullanan kullanıcı ile ilişkilendiriliyor. Cihaz tarafında, mobil cihaz üzerine bir kullanıcı aygıt sertifikası yükleniyor, ve bu sertifika da active directory içerisindeki cihaz nesnesi ile ilişkilendiriliyor.

Kullanıcının aygıtı güvenilen bir cihaz olarak kontrolden geçtikten sonra, IT ekiplerinin önceden yaptığı yapılandırmalara göre kullanıcı/aygıt kombinasyonuna bir takım şartlı erişim yetkileri atama yapılıyor. Aygıt artık güvenilen kategoride olduğu için, smart-kart ya da donanımsal-token cihazı olmadan da çok faktörlü (multifactor) kimlik doğrulama yapabileceği anlamına geliyor. Aynı zamanda, ADFS yapısında da geliştirilen bir framework sayesinde herhangi bir üçünçü-parti çok faktörlü kimlik doğrulama sağlayıcısı yapıya entegre olabiliyor. Örneğin; SMS entegrasyonu gibi. Bütün bu yapının ve çözüm platformunun tasarımı son kullanıcıya tamamen transparan gerçekleşiyor.

Bunu başarmak için, iki önemli bileşen geliyor. Bunlardan bir tanesi zaten var olan bir bileşen olup daha da geliştirildi, diğer bileşen de yeni özellikler olarak geldi. Bunlar:

·         Active Directory Federation Service (ADFS) (Geliştirildi.)

·         Web Application Proxy (WAP) (Yeni.)

AD FS, üzerinde workplace join konusunda ilgili senaryoları desteklemesi için çok fazla geliştirme yapılan bileşendir. Microsoft özellikle kimlik yönetimi standartlarını geliştirmede yükü ve yapıyı AD FS üzerine entegre bir mimaride tasarlıyor.

Windows Server 2012 R2 ile AD FS kurulum ve yapılandırması eski versiyonlara göre çok daha kolay. AD FS sunucu üzerinde artık IIS kurma zorunluluğu da kalktı. Bu sayede AD FS doğrudan bir domain controller sunucu üzerine kurarak kullanabiliyoruz.

Diğer gelen bileşen ise yep yeni bir rol: Web Application Proxy (WAP).WAP, Windows Server 2012’de Remote Access rolü altında gelen bir bileşen, ve HTTP reverse proxy olarak hizmet veren, kullanıcıların bağlandıkları erişim noktası. Bu bileşen sayesinde Workplace Join erişimleri ve BYOD kullanıcılarının kurumsal kaynaklara erişimi sağlanmış oluyor.

WorkPlace Join çözümünü gerçekleştirmek için tüm domain controller sunucularınızı Windows Server 2012 R2’ye yükseltmek zorunda değilsiniz.  Sadece active directory schema’nın yeni aygıt nesneleri, nesne sınıflarını ve özniteliklerini (attributes) desteklemesi için Windows Server 2012 R2’ye yükseltilmesi gerekiyor.

Buradaki bir diğer gereksinim de tabiiki AD FS sunucusu ve Web Application Proxy bileşeninin Windows Server 2012 R2 üzerinde kurulu olması gerekiyor.

Aygıt desteği konusunda yapılan çalışmada da pazar payının fazlalığı ya da azlığına göre belirlendi. iPad, Iphone, Windows aygıtları gibi cihazlar tamamen destekleniyor. Android üzerinde çalışmalar devam ediyor.


AD Workplace Join ile active directory bağlanmış bir IPAD görüntüsü

AD Workplace Join ile active directory bağlanmış bir IPAD görüntüsü

Teknoloji trendlerinde BYOD (Bring Your Own Device) alanına hizmet edecek bu yeni mimari ses getirecek ve gelecek yenilikler de bunun üzerine inşa edilecek gibi duruyor.

Ortam Mimarisi ve Gereksinimleri:

WorkPlace Join mimarisinin kurulumu ve hayata geçirilmesi için altyapıda belli gereksinimlerin sağlanması ve yapılandırmaların gerçekleştirilmesi gerekmektedir. Şimdi bunları adım adım belirtelim:

WorkPlace Join Altyapısının Hazırlanması

WorkPlace Join mimarisinin kurulumu ve hayata geçirilmesi için altyapıda belli gereksinimlerin sağlanması ve yapılandırmaların gerçekleştirilmesi gerekmektedir. Bunları sunucu üzerindeki hazırlıklar ve istemci üzerindeki hazırlıklar olarak iki gruba ayırıyoruz.

Laboratuvar ortamımızda bulunan bilgisayarlar ve bunların tanımlarını aşağıdaki listede görebilirsiniz:

Bilgisayar

Rol

Kullanım Amacı

DC

Domain Controller ve Certification Authority (CA)

Active Directory domain controller ve sertifika dağıtım amaçlı Sertifika otoritesi

Server2

Active Directory Federation Server

AD FS yapılandırması yapacağız.

PROXY

Web Application Proxy (WAP)

WAP yapılandırması yapacağımız sunucu

CLIENT2

Domain dışında Windows 8.1 istemci bilgisayarı

WorkPlace Join çözümünü test edeceğimiz şirket dışında (domain üyesi olmayan) kullandığımız istemci bilgisayarı

 

Yukarıdaki tablodaki bileşenlerle oluşacak altyapı mimarisi ve bağlantı şeması da aşağıda görülmektedir.

Bu mimaride internet üzerindeki istemci aygıtları (client devices) şirket güvenlik duvarı (firewall) üzerinden geçtikten sonra DMZ ya da Edge ağında bulunan Web Application Proxy istekleri karşılayacak ve şirket içi ağda bulunan active directory ortamındaki AD FS sunucu üzerinden kimlik doğrulaması sonrasında WorkPlace Join bağlantısını tamamlamış olacaktır. Bağlantı tamamlandıktan sonra da yine Web Application Proxy üzerinden güvenli mimaride yayınlanmış kaynaklara erişim sağlamış olacağız.

Şimdi de yukarıdaki mimarinin altyapısı ve sunucu rollerini biraz daha detaylı ele alalım.

Domain Controller Sunucusu:

Contoso.com isimli Windows 2012 R2 domain yapımız kurulmuştur.

Domain içerisinde domain controller rolüne sahip DC isimli sunucu detayları aşağıda görülmektedir:

TCP/IP yapılandırmasını aşağıda görüyorsunuz:

Laboratuvar uygulamamızda test amaçlı olarak aşağıdaki OU, kullanıcı ve grupları oluşturuyoruz.

Managed-Objects OU’su altında Users adında açılan OU altına Ben Smith (Logon Adı : BenSmith), Alice Ciccu (Logon Adı : AliceCiccu) ve Don Hall (Logon Adı : DonHall) kullanıcılarını oluşturuyoruz.

Yine Managed-Objects OU’su altında Groups adında açılan OU altına da yukarıdaki şekilde görülen Sync-Users Global security grubunu oluşturup, bu grup içerisine de Users OU’su altında açılan kullanıcıları aşağıdaki resimdeki gibi üye yapıyoruz.

 

 

DC sunucumuz aynı zamanda Certification Authority olarak kullanılacağı için aşağıda görüldüğü gibi üzece Active Directory Certificate Service kurulmuş ve standart ayarlarla yapılandırılmış olmalıdır.

Bu konsolda Certificate Templates üzerinde sağ tuş Manage Templates ile açıp, Computer sertifika şablonu üzerindeCopy ile bir kopya alarak aşağıdaki şekilde görülen Contoso Computer (Custom SSN) isimli bir sertifika şablonu oluşturuyoruz.

Compatibility tabında uyumluluk ayarlarını aşağıdaki şekilde yapılandırıyoruz.

Security tabında Domain Computers grubuna Enroll yetkisi tanımlıyoruz.

Bu işlemlerden sonra Certificate Templates ekranını kapatıp tekrar Certification Authority ekranına geliyoruz. Bu ekranda Certificate Templates üzerinde sağ tuş New à Certificate Template to Issue ile Contoso Computer (Custom SSN) isimli sertifikayı yayınlıyoruz.

Active Directory Federation Server Sunucusu:

Domain içerisinde SERVER2 isimli ADFS sunucusuna ait bilgileri de yine aşağıda görmektesiniz:

Bu sunucu üzerinde Server Manager konsolu kullanılarak Active Directory Federation Service rolünü de yükledik.

Fakat henüz yapılandırma yapmadık. Yapılandırma adımlarını makale içerisinde birlikte gerçekleştiriyor olacağız.

Web Application Proxy Sunucusu:

Domain içerisinde üye olan şirket ortamındaki PROXY isimli Web Application Proxy bilgisayarına ait detayları da aşağıda görmektesiniz:

Bu sunucu üzerine de yine Server Manager konsolu kullanılarak Remote Access rolü altındaki Web Application Proxy bileşenini yükledik.

Fakat bunda da henüz yapılandırma yapmadık. Yapılandırmayı makalemiz içerisinde gerçekleştiriyor olacağız.

WAP sunucusunun üzerinde iki ağ kartı tanımlanmış olmalı ve bir tanesi iç ağa bir tanesi de dış ağa göre aşağıdaki şekilde görüldüğü gibi yapılandırılmalıdır:

İç ağ kartının TCP/IP ayarları:

Dış Ağ kartının TCP/IP ayarları:

 

 

İstemci Test Bilgisayarı:

Şirket dışında kullandığımız ve domaine üye olmayan CLIENT2 isimli istemci bilgisayarına ait detayları da aşağıda görmektesiniz:

Makalemizde toplamda dört (4) ana adımda uygulamalarımızı gerçekleştiriyor olacağız. Bunlar:

·         Active Directory Federation Service üzerinde Device Registration Yapılandırması

·         Mimariye ilişkin DNS Kayıtlarının Oluşturulması

·         Active Directory Federation Service ile Device Registration Servisinin Web Application Proxy Üzerinden Yayınlanması

·         İstemci Üzerinden Testler

 

Sonuç Olarak;

İki bölümden oluşan makalemizde Windows Server 2012 R2’nin en katma-değerli yeniliklerinden biri olan “WorkPlace Join” yeniliğini inceliyoruz. Makalemizin bu ilk bölümünde genel olarak WorkPlace Join mimarisini, teknoloji trendlerindeki yerini ve ortam gereksinimlerini anlatıp, WorkPlace Join uygulaması için kullanacağımız laboratuvar ortamını hazırladık. İkinci bölümde görüşmek üzere esenkalın.

Exit mobile version