DHCP Üzerinde NAP Network Access Protection – Bölüm1

22.04.2008 | 12:16 Dokümanlar , Windows Server 7 Yorum

Windows NAPBildiğiniz gibi NAP, Windows Vista ve Windows Server 2008 ile gelen yeni bir ağ koruma teknolojisi. İlerleyen günlerde Windows XP sistemler de NAP Client olarak kullanılabiliyor olacak.

NAP yani Network Access Protection için kısaca şunu söyleyebiliriz: “Ağımıza dahil olmak isteyen bilgisayarların sağlıklı olup olmadığını kontrol etmemizi sağlayan ve onların belirli kurallara uydukları taktirde ağa girişine izin veren bir mekanizmadır.”

Windows Server 2008 NAP Nasıl Çalışır?

Örneğin client için güncelleme paketlerinin yüklenip yüklenmediği, güvenlik duvarı ayarlarının uygunluğu veya güvenlik duvarının açık olup olmadığı, virüsten korunma yazılımının doğru çalışıp çalışmadığı vey güncellik durumu gibi işletim sistemlerinin istikrarlı çalışmasına yardımcı olan ve burada sayamadığımız noktaların tümünün belirli kurallara göre kontrol edilmesi mantığına dayanır.

NAP mekanizması bu noktaları kontrol eder ve uygun olmayan durumlarla karşılaştığında bizim belirlediğimiz kurallar doğrultusunda gerekli önlemleri alarak ağımızdaki bodyguard görevini üstlenir.

NAP, belirlediğimiz kurullara uymayan bilgisayarların (yani sağlıklı olmayan bilgisayarlar) ağımıza erişimine engel oluyor çünkü bu bilgisayarlar ağımız için tehlike arz ediyor. Tabi sadece engel olmakla kalmıyor, aynı zamanda bu bilgisayarların sorunlarının giderilmesi için de yardımcı olabiliyor. Yani onlara sağlıklı olmaları konusunda yol gösteriyor.

NAP kontrolü aşağıda 5 temel giriş noktasında uygulanabiliyor.

  • DHCP
  • VPN
  • IPSEC
  • 802.1x (wried-wiriless)
  • Terminal Services Gateway

Bu makalede en çok tercih edileceğini düşündüğüm DHCP ile NAP konusunu ele alıyoruz.

NAP Ortamı (Network Access Protection)

Oluşturmuş olduğum örnek yapıda aşağıdaki sistemler yer alıyor.

1 Adet Windows Server 2003 STD : Active Directory ortamı için, DC ve DNS rolünde.

1 Adet Windows Server 2008 STD : DHCP ve NPS (Network Policy Server) rolünde.

1 Adet Windows Vista Business : Testler için Domain Client rolünde.

Örnek diyagram ve bilgisayarların IP yapılandırması ise aşağıdaki gibidir.

NAP Topoloji Diagramı

NAP Topoloji Diyagramı

Network’ümüzde domain controller olan server main-dc dir. Üzerinde test.local domain’ini barındırıyor ve DNS hizmeti veriyor. TCP/IP yapılandırma bilgisi ise yukarıdaki topoloji diyagramında görüldüğü gibidir.

DC makinemizin bahsettiğim şekilde yapılandırıldığını varsayarak devem ediyorum. Main-dc üzerinde yapacağımız başka bir işlem yok. Bizim için Active directory ve DNS hizmetini doğru bir şekilde verebiliyor olması yeterli.

NAP ortamında DC’nin Windows Server 2008 olması gibi bir gereklilik yok. Örnek topolojide de görüldüğü üzere DC’miz Windows Server 2003 R2 dir.

Network’ümüzde Policy Server olarak görev yapacak makinemiz ise NPS01 ‘dir. Üzerinde Network Policy Service ve DHCP servisi çalışıyor. IP dağıtım hizmeti ve client’ların uygunluğu için gerekli kriterleri tutacak.

Şimdi NPS01 makinemiz ile yapılandırmaya başlayalım.

NPS sunucu (yani NPS01) Windows Server 2008 çalıştıran bir server olmak zorunda.

NPS01 üzerinde Local Area Connection özelliklerine geliyoruz ve TCP/IPv4 ayarları ile başlıyoruz. Yapılandırma aşağıda ve topoloji diyagramında görüldüğü gibidir.

IP: 192.168.5.20

Mask: 255.255.255.0

DNS: 192.168.5.10

DNS olarak main-dc’i gösteriyoruz çünkü az sonra makineyi domain’e join edeceğiz.

Ayrıca NPS01 üzerinde TCP/IPv6 ‘yı disable ediyoruz. IPv6 ‘ya ihtiyacımız yok. Bunun için tekrar Local Area Connection özelliklerine geliyoruz ve Internet Protocol Version 6 (TCP/IPv6) ‘nın solundaki check box’ı boşaltıp onaylıyoruz.

Network Policy Server TCP/IP

Artık NPS01 serverımızı test.local domain’ine join edebiliriz. Normal bir join işleminden farkı yok.

Computer> Properties> Advenced System Settings> Computer Name> Change> Member Of bölümünden Domain‘i seçiyoruz ve test.local yazıyoruz.

Yine aynı penceredeki More butonuna tıklıyoruz ve Primary DNS suffix of this computer olarak ta test.local yazıyoruz.

Pencereleri onayladıktan sonra gelen username/password ekranında, domain’e join etmeye yetkili bir hesap bilgisi giriyoruz ve bir kez daha onaylıyoruz.

welcoming you to the … Mesajından sonra sistemi yeniden başlatıyoruz. (Join işlemini, Server Manager konsolunu kullanarak da yapabiliriz)

NPS01 açıldıktan sonra, artık domain de oturum açmamız gerekiyor. Bunun için, domain de Admin yetkili bir hesap kullanmalıyız (test\administrator yada Domain Admins gurubuna üye başka bir hesap)

Domain de oturum açtığımız NPS01 üzerinde DHCP ve Network Policy and Access Services rollerini yükleyerek devam ediyoruz.

Network Policy Server Yapılandırması

Start menüsünden Server Manager konsolunu açıyoruz ve sunucuya yeni bir rol eklemek için kullanılan, Add Roles‘e tıklıyoruz.

Network Policy Server Kurulumu 1

Gelen pencerede; Next ile ilerliyoruz.

Network Policy Server Kurulumu 2

Gelen “Select Server Roles” penceresinde sunucu üzerine ekleyebileceğimiz roller listeleniyor. Bu bölümü kullanarak birçok rol ekleyip, wizard ile yapılandırabiliriz. Biz NAP için gerekli olan DHCP Server ve Network Policy and Access Services rollerinin check box’larını dolduruyoruz ve Next ile ilerliyoruz.

Network Policy Server Kurulumu 3

Gelen bilgi penceresini Next ile geçiyoruz.

Network Policy Server Kurulumu 4

Aşağıda gördüğünüz “Select Role Services” penceresinde; Network Policy and Access Services için ekleyebileceğimiz alt roller listeleniyor. NAP için gerekli olan Network Policy Server rolünü tıklayarak ilerliyoruz.

Network Policy Server Kurulumu 5

Gelen pencerede; Next ile ilerliyoruz.

Network Policy Server Kurulumu 6

Yukarıdaki pencerede sarı çerçeve içine aldığım bölümler, başta eklediğimiz iki role ait.

Önce Network Policy and Access Services rolünü ve alt rollerini yapılandırdık. Şimdi ise DHCP rolünü ve ayarlarını yapılandırıyoruz.

Yani aynı wizard içinde birçok farklı rolü yapılandırabiliriz. Bu, Windows Server 2008 Server Manager’a ait bir özellik.

Gelen “Select Network Connection Bindings penceresinde; DHCP hizmetinin verileceği ağ bağlantısını seçerek devam ediyoruz.

Network Policy Server Kurulumu 7

Gelen pencerede; Parent Domain ve DNS adreslerini belirliyoruz. Ben tek DNS adresi ile geçiyorum. İhtiyaca göre diğerini de yapılandırabilirsiniz. Validate butonuna tıklayarak Valid uyarısını gördükten sonra Next ile devam ediyoruz.

Network Policy Server Kurulumu 8

Gelen pencerede; WINS Server’a ihtiyacım olmadığı için ayarları değiştirmeden Next ile ilerliyorum.

Network Policy Server Kurulumu 9

Gelen “Add or Edit DHCP Scope” penceresinde, Add butonuna basarak yeni bir scope oluşturuyoruz ve yapılandırıyoruz.

Havuzun ismini, dağıtılacak ip adreslerinin başlangıç ve bitiş değerlerini, alt ağ maskesi ve eğer kullanılacak ise varsayılan ağ geçidi bilgilerini giriyoruz (benim yapımda gerekli olmadığı için, ağ geçidini boş bırakıyorum) ve Active this scope check box’ının tıklı olduğundan emin olduktan sonra Ok diyerek onaylıyoruz. Next ile devam ediyoruz.

Network Policy Server Kurulumu 10

Gelen pencerede; Network’ümde IPv6 yapısı kullanmadığım için, IPv6 disable olarak Next ile devam ediyorum.

Network Policy Server Kurulumu 11

Active Directory ortamında yetkilendirilmesi gereken DHCP hizmeti için, yetkilendirmede kullanılacak bir hesap tanımlıyoruz. Ben administrator hesabını kullanıyorum. Domain ortamında admin yetkili bir hesap olmalı.

NPS01 üzerinde test\administrator hesabı ile oturum açtığım için aşağıdaki ekranda Use Current Credentials seçili şekilde Next ile ilerliyorum.

Network Policy Server Kurulumu 12

Aşağıdaki pencerede; bize yaptığımız ayarlar ile ilgili bir rapor sunuluyor. Eğer bir problem yada eksik görmüyor isek, Install diyerek kurulumu başlatıyoruz.

Network Policy Server Kurulumu 13

Kurulum tamamlanınca gelen ekranında Succeeded! Bilgilerini görüyoruz ve Close ile kurulumdan çıkıyoruz.

Network Policy Server Kurulumu 14

Böylece NPS sunucumuz üzerine DHCP Server ve Network Policy and Access Services rollerini yüklemiş ve temel ayarlarını yapmış olduk.

Bu Serinin Diğer Bölümleri

DHCP Üzerinde NAP Network Access Protection – Bölüm2

DHCP Üzerinde NAP Network Access Protection – Bölüm3

DHCP Üzerinde NAP Network Access Protection – Bölüm4

Yazı Etiketleri: , , , , , ,

Sayfa Başı ▲

Yorumlar (7)

  1. Muammer

    Ellerinize,emeklerinize sağlık.Sebeblendim.Çok teşekkürler.
    Allah kolaylık versin.

  2. V. UYSAL

    Eline sağlık hocam güzel bir doküman serisi olmuş

  3. KTURGAY

    70-643 Son Konuları Bu Konular Uygulamasını Yapıyordum Faydalanıyorum Hakkınızı Helal Edin Lütfen…

  4. Sevcan

    Özellikle sizin ve çözümpark ekibinin tüm makalelerinden çok faydalanıyorum. Bütün çalışmalarınız için teşekkür ederim. İyi çalışmalar …

  5. mehmet

    ilginiz için ve böyle güzel bir makele yayınladıgınız icin öncelik le çok teşekkürler.. gerçekten aklımdaki soru işaretlerine çok faydası oldu ..tekrar teşekkür ederim..

  6. Ferdi

    Serhat Hocam Benim İçin Çok Faydalı Bir Döküman Oldu Teşekkürler Eline Sağlık.Sıradaki Konudan Devam Ediyorum :)

  7. Kenan Mutlu

    Hocam emeğinize ve anlatımınıza sağlık. Çok net ve açıklayıcı. Teşekkürler

Yorum Ekle