Anasayfa » Windows Server 2012 R2 WorkPlace Join – Bölüm 2

Makaleyi Paylaş

Windows Server

Windows Server 2012 R2 WorkPlace Join – Bölüm 2

Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 2012 R2’nin özelliklerini incelemeye devam ediyoruz. İki bölümden oluşan makalemizde Windows Server 2012 R2’nin en katma-değerli yeniliklerinden biri olan “WorkPlace Join” yeniliğini inceliyoruz. Makalemizin ilk bölümünde genel olarak WorkPlace Join mimarisini, teknoloji trendlerindeki yerini ve ortam gereksinimlerini anlatıp, WorkPlace Join uygulaması için kullanacağımız laboratuvar ortamını hazırlamıştık. Bu bölümde de bileşenleri yapılandırıp, Windows 8.1 aygıtından testlerimizi gerçekleştiriyor olacağız.

Active Directory Federation Service üzerinde Device Registration Yapılandırması

Bu adımda dışardan bağlanan aygıtların kendisini active directory domainine kaydetme desteği için AD FS üzerinde yapılandırmaları etkinleştireceğiz. Ilk aşamada bu amaçlar için güvenlik sertifikalarının hazırlanması tamamlanacak, servis hesapları ve DNS kayıtlarını oluşturacağız.

ADFS ve ENTERPRISEREGISTRATION Sertifikalarının Oluşturulması:

Sponsor

Bu adımda öncelikle ADFS sunucu üzerinde ADFS ve ENTERPRISEREGISTRATION amaçlı dijital sertifikaları oluşturuyor olacağız. Bu amaçla öncelikle Server2 isimli ADFS sunucusuna Administrator hesabı ile sign-on oluyoruz. Ve aşağıdaki adımları sırayla yerine getiriyoruz:

1.       Windows PowerShell komut satırı aracını başlatıyoruz.

2.       MMC komutu ile MMC konsolunu başlatıyoruz.

clip_image001

3.       File menüsünden Add-Remove Snap-in ile Certificates eklentisini Local Computer (Yerel Bilgisayar) için konsola ekliyoruz.

clip_image002

4.       Personal/Certificates altına geliyoruz. Certificates üzerinde sağ tuşa basıp All Tasks menüsünden Request new certificate tıklıyoruz.

clip_image003

5.       Certificate Enrollment ekranında Active Directory Enrollment Policy seçili iken Next ile ilerliyoruz.

clip_image004

6.       Karşımıza gelen Request Certificates adımında yukarıda uygulama ortamını hazırlarken oluşturduğumuz Contoso Computer (Custom SSN) isimli sertifika şablonu yanındaki kutucuğu işaretleyip, altında gelen “More information is required to enroll for this certificate.Click here to configure settings.” Bağlantısına tıklıyoruz.

clip_image005

7.       Karşımıza gelen Certificates Properties ekranında Subject Name listesinden Common Name seçili iken Value metin kutusuna ADFS erişimi için kullanacağımzı adfs.contoso.com isim alanı değerini girip, Add ile sağ tarafa ekliyoruz.

clip_image006

clip_image007

clip_image008

Bu ekrandan çıkmadan yine alt kısımdaki Alternative name listesinden DNS seçeneği seçili iken Value kutusuna adfs.contoso.com değerini girip Add ile sağ taraftaki listeye ekliyoruz.

clip_image009

Benzer şekilde bir de entepriseregistration.contoso.com DNS adresi için değeri girip Add ile ekledikten sonraki son görüntüsü aşağıdaki şekilde olacaktır.

clip_image010

OK ile yapılan işlemleri onaylayarak tekrar Request Certificates ekranına geri dönüyoruz.

clip_image011

Enroll butonuna tıklayarak sertifika isteğini başlatıyoruz.

clip_image012

Sertifika başarıyla alındıktan sonra Certificate Installation Results aşaması Finish butonuna tıklanarak tamamlanmış oluyor.

clip_image013

Certificates konsolunda Personal/Certificates altına sertifikamız oluşmuş olacaktır.

clip_image014

Device Registration Amaçlı DNS Kayıtlarının Açılması:

Bu adımda da WorkPlace Join bağlantısında Device Registration amaçlı kullanılacak DNS kayıtlarının oluşturulmasını gerçekleştireceğiz. Bunun için öncelikle DC isimli Windows Server 2012 R2 domain controller sunucumuza Administrator hesabı ile sign-on olarak aşağıdaki adımları gerçekleştiriyoruz:

1.       DNS yönetim konsolunu açıyoruz ve Forward Lookup Zone altında contoso.com isimli DNS zone altına geliyoruz.

clip_image015

2.       Contoso.com üzerinde sağ tuş New Alias (CNAME) ile CNAME kaydı oluşturma ekranına geçiyoruz.

clip_image016

3.       Bu ekranda öncelikle aşağıdaki şekilde de görüldüğü gibi adfs isimli bir CNAME kaydını server2.contoso.com sunucusuna karşılık gelecek şekilde oluşturuyoruz.

clip_image017

Not: Grafiksel DNS konsolu yerine adfs CNAME kaydını aşağıdaki powershell komutu ile de oluşturabilirsiniz:

 

Add-DNSServerResourceRecordCName –Name adfs –HostNameAlias server2.contoso.com –ZoneName contoso.com –ComputerName DC

 

4.       Benzer şekilde enterpriseregistration isimli ikinci bir CNAME kaydını oluşturuyoruz.

clip_image018

5.       Bunu da yine server2.contoso.com sunucusuna çözümleme yapacak şekilde yapılandırıyoruz.

NOT: Entepriseregistration CNAME kaydını da yine PowerShell komut satırından aşağıdaki şekilde oluşturabilirsiniz:

Add-DNSServerResourceRecordCName –Name enterpriseregistration  –HostNameAlias server2.contoso.com –ZoneName contoso.com  –ComputerName DC

6.       Bu işlemler sonrasında DNS konsolunda adfs ve enterpriseregistration kayıtları aşağıdaki gibi görüntülenecektir.

clip_image019

 

ADFS Servis Hesabının Oluşturulması :

Bu adımda ADFS yapılandırmasında kullanacağımız ADFS servis hesabı için group managed service account oluşturuyor olacağız. Bu işlem için öncelikle DC bilgisayarına Administrator hesabı ile logon oluyoruz.

1.       Windows PowerShell komut satırı aracını başlatıyoruz.

2.       Aşağıdaki komutları sırayla çalıştırarak FsGmsa isimli grup-yönetilen-servis hesabını (gMSA) oluşturuyoruz.

 

clip_image020

Add-KDSRootKey –EffectiveTime (Get-Date).AddHours(-10)

New-ADServiceAccount FsGmsa –DNSHostName adfs.contoso.com  –ServicePrincipalNames http/adfs.contoso.com

clip_image021

ADFS Rolünün Yapılandırılması :

Bu adımda da makalemizin başlangıcında kurulumunu yaptığımız Active Directory Federation Service rolünü yapılandırıyor olacağız. Bunun için öncelikle administrator hesabı ile SERVER2 isimli ADFS sunucusuna sign-on oluyoruz. Ve Server Manager konsolunu açıp, AD FS kategorisine geliyoruz.

clip_image022

Üst kısımda gelen Configuration required for ADFS yanında gelen More linkine tıklıyoruz. Gelen All Server Task Details and Notifications ekranında Action kolonunda Configure the federation service linkine tıklıyoruz.

clip_image023

Bu işlem sonrasında Active Directory Federation Service Configuration Wizard çalışmaya başlayacaktır.

clip_image024

Welcome ekranında Create the first federation server in a federation server farm seçeneği seçili iken Next ile sonraki adıma ilerliyoruz.

Connect to Active Directory Domain Services ekranında yapılandırmayı yapacağımız yetkili kullanıcı hesabını gösteriyoruz.

clip_image025

Next ile ilerliyoruz. Specify Service Properties ekranı karşımıza gelecektir.

clip_image026

Bu ekranda da ADFS servisi için kullanacağımız SSL sertifikasını SSL Certificate liste kutusundan seçiyoruz. Federation Service Display Name kutucuğuna da servis için tanımlayıcı bir isim belirtiyoruz. Örneğin; Contoso-ADFS gibi. Next ile sonraki adıma ilerliyoruz.

Karşımıza Specify Service Account ekranı gelecektir. Bu ekranda ADFS için kullanılacak servis hesabını daha önce oluşturduğumuz için “Use existing domain user account or group Manager Service Account” seçeneği seçili iken Select butonuna basarak FSGmsa hesabını gösteriyoruz.

clip_image027

Next ile sonraki adıma ilerliyoruz. Karşımıza Create Configuration Database adımı gelecektir. Bu adımda ADFS yapılandırmasının depolanması için ADFS sunucusu üzerine Windows Internal Database bileşenini kurmak içinCreate a database using Windows Internal Database seçeneği seçili iken ilerliyoruz. Eğer ortamda kurulu bir SQL Server sunucusu varsa ADFS yapılandırmasını o sunucu üzerinde depolamak isterseniz de Specify the location of a SQL Server database seçeneği de seçilebilir. Biz birinci seçeneği seçip, Next ile ilerliyoruz.

clip_image028

Review Options ekranında bir özet bilgi gösteri yapılmaktadır.

clip_image029

Herhangi bir değişiklik ya da yanlışlık yoksa Next ile ilerlediğimizde bir ön gereksinim testi yapılacaktır. ADFS için yapılan seçimlere göre sunucunun ön gereksinimleri karşılayıp karşılamadığı kontrol edilir.

clip_image030

Eğer yukarıdaki gibi All prerequisities checks passed successfully mesajı gelirse Configure butonuna tıklayarak yapılandırma başlayacaktır.

clip_image031

Yapılandırma başarıyla tamamlandıktan sonra aşağıdaki Results ekranı karşımıza gelecektir.

clip_image032

Close ile bu ekranı kapatarak ADFS yapılandırmasını tamamlamış oluyoruz.

Active Directory’de Device Registration Özelliğinin Aktifleştirilmesi :

Bu adım için Server2 isimli ADFS sunucusuna Administrator hesabı ile sign-on oluyoruz. Ve Windows PowerShell komut satırını Run as administrator ile açıp aşağıdaki komutu çalıştıyoruz:

Initialize-ADDeviceRegistration –ServiceAccountName Contoso\FsGmsa$

Enable-AdfsDeviceRegistration

clip_image033

Bu işlemden sonra ADFS sunucusu üzerinde Internet Explorer uygulaması açılarak aşağıdaki adrese bağlantı testi yapılır:

https://enterpriseregistration.contoso.com/enrollmentserver/contract?api-version=1.0.

Bunun sonucunda aşağıdaki gibi bir metin bilgisi geliyorsa yapılandırma başarıyla tamamlanmış anlamına geliyor:

clip_image034

Web Application Proxy Üzerinden AD FS Device Registration’ın Yayınlanması :

Bu adımda da dış dünyadan aygıtların ve domain dışındaki cihazların ağ ortamına bağlanması ve kendilerini active directory ortamında kaydetmeleri için Web Application Proxy üzerinden ilgili servisler yayınlanmış olacaktır. Sonrasında da Windows 8.1 istemcimizle device registration testi yapıyor olacağız. Bu adımda ilk olarak ADFS ve ENTERPRISEREGISTRATION sertifikalarını WAP üzerine yükleyeceğiz. Daha sonra da WAP yapılandırması yapacağız. Proxy isimli Web Application Proxy sunucusuna Administrator hesabı ile sign-on oluyoruz.

1.       Windows PowerShell komut satırı aracını başlatıyoruz.

2.       MMC komutu ile MMC konsolunu başlatıyoruz.

clip_image001

3.       File menüsünden Add-Remove Snap-in ile Certificates eklentisini Local Computer (Yerel Bilgisayar) için konsola ekliyoruz.

clip_image002

4.       Personal/Certificates altına geliyoruz. Certificates üzerinde sağ tuşa basıp All Tasks menüsünden Request new certificate tıklıyoruz.

clip_image035

5.       Certificate Enrollment ekranında Active Directory Enrollment Policy seçili iken Next ile ilerliyoruz.

clip_image036

6.       Karşımıza gelen Request Certificates adımında yukarıda uygulama ortamını hazırlarken oluşturduğumuz Contoso Computer (Custom SSN) isimli sertifika şablonu yanındaki kutucuğu işaretleyip, altında gelen “More information is required to enroll for this certificate.Click here to configure settings.” Bağlantısına tıklıyoruz.

clip_image037

7.       Karşımıza gelen Certificates Properties ekranında Subject Name listesinden Common Name seçili iken Value metin kutusuna ADFS erişimi için kullanacağımzı adfs.contoso.com isim alanı değerini girip, Add ile sağ tarafa ekliyoruz.

clip_image038

clip_image039

Bu ekrandan çıkmadan yine alt kısımdaki Alternative name listesinden DNS seçeneği seçili iken Value kutusuna adfs.contoso.com değerini girip Add ile sağ taraftaki listeye ekliyoruz. Benzer şekilde bir deentepriseregistration.contoso.com DNS adresi için değeri girip Add ile ekledikten sonraki son görüntüsü aşağıdaki şekilde olacaktır.

OK ile yapılan işlemleri onaylayarak tekrar Request Certificates ekranına geri dönüyoruz.

clip_image040

Enroll butonuna tıklayarak sertifika isteğini başlatıyoruz.

clip_image041

Sertifika başarıyla alındıktan sonra Certificate Installation Results aşaması Finish butonuna tıklanarak tamamlanmış oluyor.

clip_image042

Certificates konsolunda Personal/Certificates altına sertifikamız oluşmuş olacaktır.

clip_image043

Şimdi de WAP yapılandırması için Server Manager konsolunda WAP rolü altına geliyoruz.

clip_image044

Configuration required uyarı mesajı yanındaki More butonuna tıklayarak Task Details and Notifications ekranına geçiyoruz.

clip_image045

Action kolonu altındaki Open Web Application Proxy Configuration Wizard tıklıyoruz. Web Application Proxy Configuration Wizard ekranı karşımıza gelecektir.

clip_image046

Welcome aşamasında Next ile sonraki adıma ilerliyoruz.

clip_image047

Federation Server adımında yukarıdaki şekildeki gibi bilgileri giriyoruz. Ve Next ile ilerliyoruz.

clip_image048

ADFS Proxy Certificate aşamasında ADFS proxy için kullanılacak adfs.contoso.com dns alanına ait sertifikayı liste kutusundan gösteriyoruz. Ve Next ile ilerliyoruz.

clip_image049

Confirmation aşamasında Configure butonuna tıklayarak yapılandırmayı başlatıyoruz.

clip_image050

Yapılandırma başarıyla tamamlandıktan sonra yukarıdaki ekran karşımıza gelecektir. Close ile kapatıp Remote Access Management Console arayüzüne geçiyoruz.

clip_image051

Bu arayüzde sağda  gelen Publish ile WAP üzerinden yayınlanacak içerdeki Lync, SharePoint, Work Folder vb. Uygulamaları tanımlayabilirsiniz. Bu konuda önceki haftalardaki Work Folders makalemizi inceleyebilirsiniz. Önümüzdeki haftalarda SharePoint ya da Lync uygulamalarının WAP üzerinden yayınlanmasına ilişkin makalelerimizi de yayınlıyor olacağız.

Windows 8.1 İle WorkPlace Join Bağlantı Testi

Şimdi de bu adıma kadar yapılandırdığımız altyapıya Windows 8.1 istemcimizden WorkPlace Join bağlantı testini gerçekleştiriyor olacağız.

Client2 isimli istemcimize yerel administrator hesabı ile logon oluyoruz.

clip_image052

Start butonuna basıldıktan sonra açılan aşağıdaki ekranda görüldüğü gibi Search metin kutusuna WorkPlace yazdıktan sonra listelenen WorkPlace Settings bağlantısı üzerine tıklıyoruz.

clip_image053

Karşımıza gelen aşağıdaki WorkPlace ekranına test kullanıcımız olan bensmith@contoso.com hesabını girip, Join butonuna basarak bağlantı sürecini başlatıyoruz.

clip_image054

 

clip_image055

Connecting to a service ekranından sonra bağlantı başarıyla sağlanırsa aşağıdaki Sign-in ekranı karşımıza gelir:

clip_image056

Bu ekranda active directory içerisindeki kullanıcı adımız ve şifremizi girip Sign-in butonuna tıklayarak sign-in sürecini başlatıyoruz.

clip_image057

Bağlantı sağlandıktan sonra yukarıdaki gibi “This device has joined your workplace network” ifadesi gelecek ve bağlantıyı koparmak için de Leave butonu görünecektir.

Active Directory Veritabanında Device Registration Testi:

WorkPlace Join ile bağlanan istemci ve cihazlar kendisini yetkili bit hesapla sign-in olduktan sonra active directory veritabanına kaydedecektir. Bu kaydın nereden ve nasıl görüntülendiğini görmek için de aşağıdaki adımları yerine getiriyoruz:

1.       DC isimli domain controller sunucusuna Administrator hesabı ile sign-in oluyoruz.

clip_image058

2.       Active Directory Administrative Center yönetim konsolunu açıyoruz.

3.       Treeview görünümünde iken domain altında gelen RegisteredDevices kabı altına geliyoruz.

clip_image059

4.       Bu kap altında yukarıdaki şekilde de görüldüğü gibi WorkPlace Join ile bağlanmış ve kendini kaydetmiş cihazların listesini göreceksiniz.

5.       Cihaz kaydı üzerine cift tıklayarak gelen aşağıdaki ekranda Attribute Editor sekmesinde displayName özniteliğinde bağlı olan cihazın ya da istemcinin adının geldiğini göreceksiniz.

clip_image060

Sonuç Olarak;

İki bölümden oluşan makalemizde Windows Server 2012 R2’nin en katma-değerli yeniliklerinden biri olan “WorkPlace Join” yeniliğini tüm detaylarıyla uygulamalı olarak inceledik. Yeni makalelerde görüşmek üzere esenkalın.

Makaleyi Paylaş

Cevap bırakın